در این چالش شما با یک سامانه داخلی به نام Client Risk Command Console روبرو هستید. این سیستم برای پایش Client Telemetry و مدیریت وضعیت نشستهای عملیاتی در محیط ClientOps طراحی شده است.
پس از احراز هویت کاربر، داشبورد برنامه مجموعهای از Runtime Assets و ماژولهای جاوااسکریپت را بارگذاری میکند که بخشی از وضعیت برنامه و اطلاعات عملیاتی را در سمت مرورگر در دسترس قرار میدهند.
در این سناریو تمرکز اصلی بر تحلیل نحوه بارگذاری و استفاده از JavaScriptهای پویا (Dynamic Runtime Scripts) در محیط کاربر است؛ بهویژه اسکریپتهایی که پس از ورود کاربر به سیستم تولید یا بارگذاری میشوند.
هدف شما در این چالش
در این تمرین امنیتی شما باید:
✔️ رفتار برنامه پس از Authentication و نحوه بارگذاری runtime assets را بررسی کنید.
✔️ فایلهای JavaScript بارگذاریشده در داشبورد را تحلیل نمایید.
✔️ بررسی کنید که آیا دادههای مربوط به session یا وضعیت کاربر در اسکریپتهای سمت کلاینت قرار گرفتهاند یا خیر.
✔️ ارزیابی کنید که آیا این اسکریپتها میتوانند از طریق مکانیزمهای مرورگر در صفحات دیگر بارگذاری شوند یا خیر.
✔️ بررسی کنید که آیا دادههای موجود در اسکریپتهای runtime میتوانند باعث افشای اطلاعات حساس در سطح مرورگر شوند.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%
